Windows firewall disabled

このページは日本語には対応しておりません。随時翻訳に取り組んでいます。翻訳に関してご質問やご意見ございましたら、お気軽にご連絡ください。

Goal

Detect when the Windows firewall is disabled.

Strategy

Monitor the Windows event logs where @evt.id is 4950 and the @Event.EventData.Data.SettingValue:No.

Triage and response

Verify if {{@Event.System.Computer}} has a legitimate reason for having the Windows firewall disabled.